Toate modelele YubiKey care rulează firmware înainte de versiunea 5.7 sunt afectate
În context: YubiKey este o cheie de securitate hardware care simplifică autentificarea cu doi factori. În loc să primească coduri prin text sau printr-o aplicație, utilizatorii pur și simplu ating YubiKey atunci când se conectează la conturi, aplicații sau servicii care necesită 2FA. Acest lucru adaugă un nivel suplimentar de securitate dincolo de o parolă. Cu toate acestea, după cum au demonstrat acum cercetătorii, dispozitivul nu este infailibil.
Cercetătorii au descoperit un defect criptografic în seria YubiKey 5, larg adoptată. Defectul, cunoscut sub numele de vulnerabilitate a canalului lateral, face ca dispozitivul să fie susceptibil de clonare dacă un atacator câștigă fizic temporar.
Vulnerabilitatea a fost descoperită inițial de firma de securitate cibernetică NinjaLab, care a realizat o inginerie inversă a seriei YubiKey 5 și a conceput un atac de clonare. Ei au descoperit că toate modelele YubiKey care rulează versiuni de firmware anterioare 5.7 sunt susceptibile.
Problema provine de la un microcontroler produs de Infineon, cunoscut sub numele de seria SLB96xx TPM. Mai exact, biblioteca criptografică Infineon nu reușește să implementeze o apărare crucială a canalului lateral cunoscută sub numele de „timp constant” în timpul anumitor operațiuni matematice. Această supraveghere permite atacatorilor să detecteze variații subtile ale timpilor de execuție, dezvăluind potențial cheile criptografice secrete ale dispozitivului. Și mai îngrijorător este faptul că acest cip special este utilizat în numeroase alte dispozitive de autentificare, cum ar fi cardurile inteligente.
Nu este totul nenorocire, totuși Yubico, compania din spatele YubiKeys, a lansat deja o actualizare de firmware (versiunea 5.7) care înlocuiește biblioteca criptografică vulnerabilă Infineon cu o implementare personalizată. Dezavantajul este că dispozitivele YubiKey 5 existente nu pot fi actualizate cu acest nou firmware, lăsând toate cheile afectate permanent vulnerabile.
Acestea fiind spuse, proprietarii YubiKey existenți nu trebuie să-și arunce dispozitivele. Atacul în cauză necesită resurse semnificative – echipamente specializate în valoare de aproximativ 11.000 de dolari – și expertiză avansată în inginerie electrică și criptografică. De asemenea, necesită cunoașterea conturilor vizate și informații potențial sensibile, cum ar fi nume de utilizator, PIN-uri, parole de cont sau chei de autentificare.
„Atacatorul ar avea nevoie de posesia fizică a YubiKey, Security Key sau YubiHSM, cunoașterea conturilor pe care doresc să le vizeze și echipamente specializate pentru a efectua atacul necesar”, a menționat compania în avizul său de securitate.
E drept să spunem că nu este ceva ce majoritatea infractorilor cibernetici îl pot realiza. Atacurile țintite ale statelor naționale sau ale grupurilor bine finanțate sunt încă o posibilitate, deși extrem de subțire.
Yubico recomandă să le folosiți în continuare, deoarece sunt încă mai sigure decât să vă bazați doar pe parole. Cu toate acestea, este recomandabil să monitorizați orice activități de autentificare suspecte care ar putea indica un dispozitiv clonat.
Credit imagine: Andy Kennedy